Jak dokumentujesz konfiguracje serwera Windows?

15

Pochodzę z środowiska uniksowego, gdzie dokumentowanie konfiguracji usługi (na przykład e-maila) może być tak proste, jak pobranie kilku tekstowych plików konfiguracyjnych i akapitu lub 2 tekstu objaśniającego.

W obliczu udokumentowania konfiguracji wielu (50+) pudeł Windows, jestem przerażony, gdy dowiedziałem się, jak trudno jest zobaczyć konfigurację usługi. Buduję te maszyny od zera, więc stoję przed koniecznością zachowania spójności konfiguracji na wszystkich komputerach. Zobrazuję wszystkie serwery, na których praktyczne jest użycie Ghosta lub podobnego, ale faktyczna konfiguracja usług takich jak AD lub Exchange jest tak ręcznym procesem point & click, że łatwo byłoby skończyć z niespójnościami.

Jak ludzie sugerują, żebym zajął się tworzeniem dokumentacji kompilacji, która zapewni spójność? a po drugie, jak udokumentować konfigurację bez uciekania się do mnóstwa zrzutów ekranu itp.? Zastanawiam się nad użyciem Camtasii do uchwycenia filmu z procesu konfiguracji, co wydaje się śmieszne.

Dzięki za pomoc!

edycja: Niektóre z poniższych odpowiedzi były bardzo pomocne i myślę, że doprowadzą mnie do miejsca, w którym chciałbym być. W szczególności użycie plików odpowiedzi w instalacjach skryptowych pomoże stworzyć spójne instalacje, a niektóre narzędzia WMI będą bardzo przydatne w dokumentacji (LANsweeper, SYDisproject itp.)

Naprawdę tak naprawdę chcę mieć narzędzie, które wyplułoby całą konfigurację do formatu czytelnego dla człowieka / edytowalnego, a także wciągnęło wszystko z powrotem. Unix zasadniczo zawsze robił to za pomocą samokontrujących się plików konfiguracyjnych, więc wielkim rozczarowaniem jest brak tego samego narzędzia w rzekomo nowoczesnym systemie operacyjnym!

Jan
źródło
+1, ponieważ dzielę ten sam problem. Mnóstwo zrzutów ekranu i plików tekstowych dla mnie na chwilę :(
Chris Driver
1
@Chris: Nie piszesz wystarczająco ostro, a potem ...> uśmiechnij się <
Evan Anderson

Odpowiedzi:

7

Mówisz, że budujesz systemy od podstaw, więc wygląda na to, że bardziej interesuje Cię automatyczna konfiguracja niż pobieranie konfiguracji z systemu „na żywo”.

Instalacja każdej wersji systemu Windows od Windows 2000 jest dość łatwa do zautomatyzowania za pomocą „plików odpowiedzi”.

Instalacja Active Directory (dcpromo.exe) może być wykonana z pliku odpowiedzi.

Obiekty można importować do Active Directory z plików CSV / LDIF lub dodawać programowo za pomocą skryptu. Jeśli tworzysz jedną domenę, te obiekty będą musiały zostać zaimportowane tylko raz, a import CSV / LDIF prawdopodobnie będzie w porządku. Jeśli tworzysz wiele domen lub wielu lasów, prawdopodobnie najlepiej będzie, jeśli napiszesz skrypt (ponieważ nazwy wyróżniające obiektów będą się różnić w zależności od domeny, w zależności od lasu).

Instalację każdej wersji Exchange od Exchange 2000 można zautomatyzować za pomocą pliku odpowiedzi.

W środowisku Active Directory można uzyskać dużą spójność konfiguracji, używając zasad grupy do egzekwowania ustawień na komputerach. Strzelam do celu, aby mieć wszystkie nie-zapasowe ustawienia konfiguracji dotyczące: systemu operacyjnego ustawionego przez zasady grupy, tak że podczas wdrażania nowego serwera nie zaznaczam ręcznie elementów konfiguracji (zezwalając na „Pulpit zdalny”, uruchamiając „Dodaj / Usuń” Składniki systemu Windows / SYSOCMGR, aby zmienić załadowane składniki systemu Windows, stosując lokalny system plików i uprawnienia rejestru itp.).

Oprócz początkowej instalacji produktów wiedza na temat tego, gdzie każdy produkt przechowuje swoją konfigurację, zajmie Ci długą drogę do spójności. Skrypty do manipulowania systemem plików i rejestrem nie różnią się zbytnio w systemie Windows niż manipulowanie plikami konfiguracyjnymi na komputerze * nix. Tam, gdzie manipulowanie rejestrem nie jest właściwe, zwykle dostępne są narzędzia wiersza polecenia do wykonywania większości innych zadań konfiguracyjnych (netsh, polecenie „net”, narzędzia zestawu zasobów itp.). Byłbym całkiem pewien, że większość zadań konfiguracyjnych, z którymi będziesz się borykać, została już zautomatyzowana i udostępniona przez kogoś skryptom, jeśli spojrzysz wystarczająco mocno.

re: obrazowanie dysku - jeśli masz identyczny sprzęt, możesz uciec od obrazowania dysku po użyciu narzędzia SYSPREP do zresetowania identyfikatora bezpieczeństwa komputera (SID) i przygotowania go do obrazowania. Jeśli twój sprzęt nie jest spójny, odradzam obrazowanie dysku. Twój dostawca serwera, zakładając, że jest marką, powinien mieć „historię” dotyczącą automatycznego wdrażania systemu operacyjnego, która obejmuje udostępnianie sterowników dla sprzętu (OpenManage Server Assistant, SmartStart itp.).

Evan Anderson
źródło
Wygląda to bardzo pomocne, dzięki Evan - opcja automatycznej instalacji zdecydowanie może pomóc w zapewnieniu spójności instalacji, zbadam to. Rzeczywiście użyję narzędzia sprzedawcy do tworzenia obrazów, a sprzęt jest identyczny, więc nie ma trudności.
John
Idealnym rozwiązaniem byłoby automatyczne utworzenie pliku odpowiedzi instalacji z uruchomionego komputera - czy to możliwe? Człowieku, nie wiem, jak w ogóle znosicie te rzeczy ;-)
John
1
@John: Nie jest tak źle. Gdy już wiesz, jak korzystać z manipulacji rejestrem wiersza polecenia i niektórych różnych specjalistycznych narzędzi wiersza polecenia (dnscmd.exe z narzędzi wsparcia, netsh.exe itp.), Możesz naprawdę zrobić dużo z wiersza poleceń (i , a więc ze skryptów), aby uzyskać powtarzalne konfiguracje. Zaczynałem swoje życie od „prawdziwego” oprogramowania w świecie Unixa (Xenix - ick) i stałem się w porządku z systemem Windows do robienia rzeczy. Rejestr wydaje mi się katalogiem / etc. Microsoft ma zdobyć naprawdę dużo lepiej wiersza polecenia administratora ostatnich kilku yeras też.
Evan Anderson
Przyszło mi do głowy, że Windows zapewnia rozsądne interfejsy do dokumentowania działającej konfiguracji i może wypluć niektóre bity konfiguracji (jak na przykład ktoś z GPO, o którym ktoś wspomniał), ale nie ma sposobu, aby je połączyć, tzn. Chcę, aby maszyna wypluła całą swoją config w formie czytelnej dla człowieka / edytowalnej, która pozwoliłaby mi po prostu przenieść go na inną maszynę z kilkoma zmianami. Unix robi to od zawsze, to niesamowite, że nie możesz zrobić tego samego w systemie Windows. Dziękuję za twoją pomoc, przynajmniej przynajmniej mogę dostać się do tego, czego chcę!
John
5

Inną opcją dla systemów „na żywo” jest SYDI ( http://sydiproject.com/ )

Ze strony internetowej projektu: „Na najbardziej podstawowym poziomie SYDI składa się ze zbioru skryptów, które zbierają informacje z serwerów i sieci, a następnie zapisują dane w raporcie.

Dokumentowanie sieci może wydawać się wielkim projektem, SYDI pomaga zacząć. Zamiast ręcznie zbierać informacje, takie jak adresy IP, wersja systemu operacyjnego, konfiguracja sprzętu, skrypty zbierają to automatycznie, mogą pisać bezpośrednio do Worda (lub XML). ”

Marcos
źródło
2

Wiele konfiguracji systemu Windows jest przechowywanych w rozsądny i logiczny sposób oraz w rozsądnych i logicznych miejscach. Jeśli podchodzisz do tego z założonym kapeluszem uniksowym, prawdopodobnie próbujesz zastosować podejście uniksopodobne do zbierania tych informacji, co bardzo szybko doprowadzi cię do bałaganu.

Aby wziąć przykład z zasad grupy: w celu udokumentowania konfiguracji obiektu GPO wystarczy użyć gpmc, aby (1) wygenerować czytelne dla ludzi dokumenty konfiguracyjne i (2) wygenerować eksport aktualnej konfiguracji GPO do użytku maszynowego. To tylko kilka prostych kliknięć myszką, a będziesz mieć wszystko w ładnym pakiecie.

Do konfiguracji serwera możesz użyć skryptów WMI, aby zrzucić dowolną ilość informacji, jakie można sobie wyobrazić, w dokładnie takim formacie, jaki chcesz, bez konieczności zbliżania się do AD, systemu plików lub rejestru. Możesz nawet skorzystać z bezpłatnych narzędzi, takich jak LANSweeper ( http://www.lansweeper.com/ ), aby zautomatyzować proces i udostępnić wynik końcowy na stronie internetowej dla wszystkich.

Kolejną kwestią, o której należy pamiętać, która została omówiona powyżej, ale należy ją powtarzać, jest to, że w środowisku AD serwery nie istnieją w izolacji od siebie. Konfigurowanie AD, Exchange i GPO to zadanie jednorazowe. Na przykład nie trzeba konfigurować obiektów zasad grupy osobno na każdym kontrolerze domeny.

Maximus Minimus
źródło
Istnieje wiele obręczy do przeskoczenia, aby osiągnąć najprostsze rzeczy, jakie się wydają. Moja konfiguracja jest niezwykła, ponieważ mam wiele podobnych, oddzielnych domen AD, które są całkowicie niezależne, ale muszę udostępniać bardzo podobne konfiguracje w celu ułatwienia administracji, stąd potrzeba łatwej do udokumentowania, powtarzalnej konfiguracji. Wydaje się, że łatwo jest utworzyć dokument konfiguracji za pomocą WMI, gdy masz już działający serwer, ale nie jest tak łatwo po prostu wypluć całą konfigurację w taki sposób, że można ją szybko edytować i wczytać na inny serwer (tj. W taki sposób, jak Unix traktowałem te rzeczy na zawsze).
John
2

Mamy oprogramowanie, które może dokumentować IIS, serwery Windows, wystąpienia SQL, Exchange.

Istnieje DARMOWA wersja, która może pokryć niektóre z twoich wymagań.

http://centrel-solutions.com/xiaconfiguration

Dzięki,

Dave


źródło
1

Niedawno zacząłem grać w Spiceworks i muszę przyznać, że podejrzewam, że działa na zasadzie FM.

Tak długo, jak twoje komputery są uwierzytelnione w domenie, zajmie się wszystkim. Przynajmniej użyj go do tworzenia dokumentacji w formie, którą znasz.

Matt Simmons
źródło
Dzięki za sugestię Matt, wygląda na to, że byłoby to przydatne narzędzie do tworzenia i utrzymywania zapasów działających sieci. Wydaje się jednak, że nie ma na przykład możliwości pełnej konfiguracji serwera wymiany w taki sposób, aby można go było szybko odbudować. Muszę powiedzieć, że jestem zdumiony, że wydaje się to tak trudne. Jak wspomniałem, w świecie uniksowym jest kilka plików konfiguracyjnych tekstu i jesteś wyłączony. Martwisz się o spójność? Po prostu różnicuj 2 konfiguracje! Łatwo.
John
@John: Na przykład konfiguracja programu Exchange jest przechowywana w usłudze Active Directory, a nie „na” komputerze z programem Exchange Server. Kiedy trzeba „odbudować” maszynę, konfiguracja jest już w AD. Eksportowanie i „różnicowanie” konfiguracji ustawień specyficznych dla serwera dla Exchange nie byłoby zbyt trudne. Wielu administratorów systemu Windows nie patrzy „pod maską” i zdaje sobie sprawę, że większość konfiguracji komputerów serwerów to tylko kilka par klucz-wartość w systemie plików, rejestrze lub usłudze Active Directory.
Evan Anderson
Dzięki Evan, z pewnością jest to o wiele bardziej skomplikowane niż ściąganie pliku konfiguracyjnego i uruchomienie diff, jeśli konfigurację można podzielić na system plików, rejestr i AD. Jak można skonsolidować ten bałagan informacji w spójny i użyteczny sposób?
John